Za účelem lepšího prosazování svých pravidel týkajících se přístupu k uživatelským datům skrze jeho API (aplikační programovací rozhraní), která uvádějí, že aplikace by neměly zavádět uživatele, když prezentují sebe a své záměry, provádí Google změny v publikačním procesu aplikací třetích stran, svých systémech hodnocení rizik i na stránce o poskytnutí souhlasu, kterou zobrazuje uživatelům.
Google je poskytovatelem identity, což znamená, že jiné webové aplikace mohou Google využívat jako mechanismus pro ověřování uživatelů přistupujících k dané aplikaci. K tomu používají protokol OAuth. Kromě toho mohou využít také API Googlu pro zasílání požadavků o údaje uživatelů uložené na službách Googlu.
V minulém týdnu obdržel velký počet uživatelů dobře zpracovaný phishingový e-mail, který je žádal, aby si prohlédli dokument v aplikaci Google Dokumenty. Kliknutím na odkaz byli přesměrováni na stránku pro poskytnutí souhlasu Google OAuth, na níž stálo, že aplikace zvaná Google Dokumenty (Google Docs) požaduje přístup k jejich kontaktům a účtům na Gmailu.
Důvod, proč tento útok pomocí tzv. spoofingu fungoval, spočívá v tom, že neexistuje žádný mechanismus, který by zabránil aplikaci třetí strany registrovaná ke službě Google OAuth ve využívání stejného názvu jako jedna z vlastních aplikací Googlu – nebo názvu jiné legitimní aplikace třetí strany.
Od útoku již Google posílil svůj systém hodnocení rizik pro nové aplikace a učinil některé další změny pro lepší detekci takového zneužití. Vývojáři aplikací tak mohou vidět chybové hlášky při registracích nových aplikací nebo modifikacích těch dosavadních v Google API Console, Firebase Console nebo editoru Apps Script, napsal Google Identity Team v blogovém příspěvku.
Navíc na základě výsledků vylepšeného hodnocení rizik budou některé webové aplikace muset podstoupit manuální hodnotící a schvalovací proces, který může trvat mezi třemi a sedmi pracovními dny.
Prozatím budou vývojáři schopni požádat o přezkoumání v testovací fázi aplikace, ale do budoucna Google plánuje povolit také požadavky o přezkoumání v průběhu fáze registrace.
Než bude aplikace přezkoumána, budou moci vývojáři svou aplikaci i nadále testovat s využitím svého vlastního účtu, jakož i přidávat další testery.
Zdroj: CIO.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU